SSH sin password ~ Userlinux.net

SSH sin password

29.Jul.2004 ~ 10 Comentarios ~ 10581 Lecturas

A veces existe la imperiosa necesidad de configurar el acceso SSH sin clave por diversos motivos. Supongamos que cada poco tiempo tenemos que transferir archivos de un ordenador a otro de forma segura (por ssh o scp se me ocurre). Es un lío andar poniendo la contraseña cada vez que lo necesitemos.

Podemos solucionar nuestro problema haciendo que un equipo confíe en el otro. Mirándolo de otra forma podemos pensar que es inseguro, pero en ciertas ocasiones merece la pena tener esta configuración, más aún si los 2 equipos son propiedad de la misma persona :) Un caso práctico al que se puede aplicar todo esto es en una copia de seguridad de una máquina a otra a través de rsync o scp, así que allá vamos:

Para empezar tenemos que generar una clave dsa pública local que posteriormente exportaremos al ordenador remoto:

luser@local# ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/luser/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /luser/.ssh/id_dsa.
Your public key has been saved in /luser/.ssh/id_dsa.pub.
The key fingerprint is:
aa:rr:aa:ss:ff:rr:ee:nn:aa:dd:aa:ll:aa:rr:gg:aa 
luser@local#

La passphrase la dejamos en blanco, pues buscamos eso, no interactuar en el ssh. Una vez generada esa clave, debemos pasarla de forma segura (es muy importante no pasarla por ftp, mail o similares) a la máquina remota. Podemos hacerlo de la siguiente manera:

luser@local# scp .ssh/id_dsa.pub luser@remote:/home/luser/.ssh/authorized_keys2
luser@local#

O más sencillo todavía:

$ ssh-copy-id -i ~/.ssh/id_dsa.pub user@remote.machine.com

Una vez pasada la clave a la máquina remota estamos en condiciones de hacer un ssh sin contraseña alguna:

luser@local# ssh remote ls
.bash_history
.bashrc
pipiculas
tonteridas
...
luser@local#

Este mini-post está inspirado en el de Natxo Morell, quería tener la anotación en mi bitácora para poder consultar un utilísimo truck & tip cuando no lo recuerde, mi memoria a veces falla. Gracias Natxo.

Categorías: sistemas

Tags: ssh password

Comentarios

pAvL0

29.Jul.2004

Y no sería más sencillo permitir el acceso sin contraseña y limitar la ip ?? o en tal caso hacer las dos cosas.

Besitos

mazzi

29.Jul.2004

Muy bueno el post! :D

reidrac

29.Jul.2004

Porque las claves RSA (o DSA en el ejemplo de r0sk) son más fáciles de guardar que una IP ;)

Pero bueno... si un atacante se puede molestar tanto en saltarse un control por IP, no veo porqué no puede comprometer tus claves RSA :P

luca

30.Jan.2005

Esta técnica es muy poco recomendada, así fue como entraron en los servidores de Debian. Lo más recomendado es poner una passphrase (bien complicada) y usar ssh-agent y ssh-add para que el ssh recuerde la passphrase en una sesión. De esta manera aprovechamos lo mejor de los 2 mundos, por un lado para un cracker que entre a nuestra PC no será tan sencillo meterse en todos los servidores en los que tenemos acceso via ssh y por otro seguimos teniendo la comodidad de no tener que poner la passphrase cada 5 minutos (la ponemos una sola vez al iniciar la sesion).

Espero que sirva.

r0sk

07.Dec.2006

Para varios ordenadores de confianza, con agregar las claves a authorized_keys2 llegaría: cat authorized_keys_nuevo >> authorized_keys2

santi

27.Dec.2007

y no es mas facil pernitir el accseso sin contraceña

bato-loco

23.May.2008

luca, podrias explicarnos mejor como hacer lo que nos indicas entu comentariopor favor?

Emilio

08.Jul.2008

Hola,

Os dejo un tutorial sobre el tema, que quizás os resulte de interés:

http://ociotec.com/index.php/2008/06/25/ssh-sin-password/

Sergi

17.Apr.2009

Muchas gracias por esta valiosa información. He realizado todos los pasos al pie de la letra y me ha funcionado perfectamente a la primera.

Gracias!

CarrNatalia19

03.Jun.2011

People all over the world receive the credit loans in various banks, because that's fast and easy.

Comentarios

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 15 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.